कैसे पता करें कि कोई प्रमाणिक बॉक्स असली है या नकली?


28

उदाहरण के लिए, कोई मेरा रूट पासवर्ड प्राप्त करने के लिए एक नकली प्रमाणीकरण संवाद बनाता है। यह कैसे पता चलेगा कि यह असली है या नकली?

प्रमाणन

जवाबों:


23

इसलिए आप [शायद] वहां पॉलिसीकीट एस्केलेशन प्रॉम्प्ट को देख रहे हैं। उन लोगों में से एक के बिना कोई भी जो साथ खेलना चाहता है, बस रन pkexec echo(या ऐसा कुछ) चला सकता है और उन्हें कुछ समान मिलेगा।

हम यह कैसे चेक कर सकते हैं कि यह वास्तव में PolicyKit है, न कि कुछ कस्टम-फ़िशिंग विंडो?

खैर आप एक विंडो के बारे में जानकारी प्राप्त कर सकते हैं xpropऔर आप कमांड की जानकारी प्राप्त कर सकते हैं psताकि हम उन्हें जोड़ सकें! इससे पहले कि हम स्टीम करें, क्योंकि हम यहां सुपर-पैरानॉयड हो रहे हैं, मैं पूरी तरह से पथ का उपयोग कर रहा हूं, जब किसी ने इनमें से किसी भी कमांड की स्थानीय हैक की गई कॉपी को जोड़ा है। यहां मैं इसे अपने pkexec echoबॉक्स पर चला रहा हूं :

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
 3989 ?        Sl     0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1

इसलिए जहां तक ​​हम बता सकते हैं (ध्यान दें कि मैं एक केडीई उपयोगकर्ता हूं) यह एक वैध संकेत है। यह कुछ स्थानीय स्क्रिप्ट को बंद नहीं कर रहा है, जब तक कि कुछ बुराई पहले से ही सिस्टम को जड़ नहीं देती है (लेकिन हे, वे हमारे पासवर्ड को फिर से क्यों भेजेंगे?), हम शायद सुरक्षित हैं।

हम कैसे बता सकते हैं कि यह क्या करने जा रहा है?

के मामले में gksu, kdesuऔर pkexecसंकेत काफी स्पष्ट हैं कि वे क्या चलाने जा रहे हैं। पहले दो के मामले में ऊपर की कमान आपको बताएगी कि वे क्या योजना बना रहे हैं:

$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
  PID TTY      STAT   TIME COMMAND
10395 ?        Sl     0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic

पॉलिसीकीट के मामले में, आप उस विवरण टैब पर क्लिक कर सकते हैं और आप देखेंगे कि वह किस अनुमति को निष्पादित करना चाहता है। केडीई में आपको कॉलर पीआईडी ​​भी दिखाई देगा जिसे देखा जा सकता है ( ps <PID>)। केडीई में ऐसा दिखता है:

KDE पॉलिसीकिट प्रॉम्प्ट

आप कार्रवाई पर होवर कर सकते हैं और पालिसी नीति प्राप्त कर सकते हैं जिसे वह निष्पादित करना चाहता है। उबंटू में पॉलिसी डिफ़ॉल्ट रूप से दिखाई जाती है। इन नीतियों पर गौर किया जा सकता है। इसके बाद के संस्करण से आता है /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policyऔर में निर्दिष्ट एक सेवा /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service। आप देख सकते हैं कि क्या चलाया जा रहा है और किसके द्वारा। और इन सेवाओं को केवल तब तक रूट द्वारा जोड़ा जा सकता है, जब तक कि आप पहले से ही रूट नहीं किए गए हों, आप शायद इन पर भरोसा कर सकते हैं।

लेकिन आँख बंद करके PolicyKit पर भरोसा मत करो!

पॉलिसीकीट के पास ये नियम और सेवाएं हैं, इसलिए इस तरह की पूरी प्रक्रिया को चलाने के बिना कुछ चुनिंदा कार्यों को रूट के रूप में किया जा सकता है। हालांकि आपको सतर्क रहने की जरूरत है। जाहिर है अगर आप चला रहे हैं gnome-calculatorऔर एक org.freedesktop.policykit.execत्वरित चबूतरे, कुछ डोडी है।

इससे पहले कि आप अपना पासवर्ड स्टिक करें, इसके बाद कुछ भी नहीं हो सकता है। बहुत देर हो चुकी है।

और यहां तक ​​कि अगर यह सब वैध है, तो आपके पास यह कहने के लिए कौन है कि आपके सभी पासवर्डों को चोरी करने वाले केलॉगर नहीं है? या कुछ ओवरराइडिंग $PATHया जिसने आपके कुछ भयानक को डंप कर दिया है ~/.bashrcजिससे यह ऐसा लग रहा है जैसे आपको हैक नहीं किया गया है? मुझे पर्याप्त एकाग्रता के साथ काफी यकीन है कि आप उपरोक्त सभी खोज प्रक्रियाओं को दरकिनार कर सकते हैं।

अच्छे से सो।


सॉफ्टवेयर्स tripwireकिसी फ़ाइल की प्रामाणिकता की जांच करने में मदद कर सकते हैं, लेकिन उन्हें बहुत पहले ही इंस्टॉल कर लेना चाहिए।
रजिस्टर्ड यूजर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.